analysis

Roo CDROM User's Manual

この章の目的はあなたが収集した全データをいかに解析するかを説明することであり,主に Walleye インターフェイスの使用について説明する.このドキュメントや Honeywall CDROM にバグや訂正を見つけたら私たちの Bugzilla Server に知らせてほしい.

注: このページに見られるどのイメージも根本的な変更が行われやすい.そのビジュアルインターフェイスはまだ活発に開発が行われている.(私たちはより使いやすく、よりわかりやすくしようとしている.)新しい機能と向上を図るつもりである.全ての例は Win32 上の Firefox ブラウザで使用しているものである.

また日本語訳に関する間違いや問題などは eba[at]vogue.is.uec.ac.jp もしくは hidesuke[at]vogue.is.uec.ac.jp までメールで知らせて下さい

[Last Modified: 23 June, 2005]

6. データ解析

  1. 概要
  2. サマリー
  3. フロー
  4. 詳細
  5. Sebek
  6. 今後の予定

6.1 概要

あなたがハニーネットの配備に取りかかったとき,その全ての目的はデータを収集することであろう. しかし,そのデータはあなたが解析を行わないならば何の価値もない. これは以前の Honeywall Eeyore の最大の弱点の 1 つであり,その巨大なデータ全てを解析する簡潔な方法がなかった. 私たちは,その問題を解決するWalleye という Honeywall CDROM のための新しい Web ベースのユーザインターフェイスを望んでいる. Walleye インターフェイスに接続するには,あなたのブラウザで以下をタイプしなさい.( SSL を使い安全な接続を行っていることに注意しよう.)

https://ip-address-mgmt-interface

Data Analysis セクションへのアクセス方法は, 5 章: メンテナンス で述べたSystem Admin セクションへのアクセス方法と同じである. あなたはそのときログインをするよう指示されるだろう. もしあなたがログインすることが初めてだったら,デフォルトのユーザ名 roo パスワード honey である. あなたはそのときパスワードを変更するよう指示されるだろう. もし以前に既にログインしたことがあれば,あなたは更新されたログインパスワードが必要になるだろう. 一度あなたがアクセス権を得たら,そのユーザインターフェイスはデフォルトで Data Analysis Summery セクションになるだろう.

6.2 サマリー

あなたが最初に Data Analysis セクションを表示するとき,あなたは サマリーページを見る. このページではデフォルトであなたのセンサーのサマリーと,一時的な IP 検索オプション(よりよいものを現在開発中である)を示す. Online Sensors セクションは honeywall が見る活動の概略を見せる. センサーの識別はあなたの Honeywall の管理用 IP アドレスを基にしている. もしあなたがあなたの Honeywall の IP アドレスを変更するなら,あなたは複数のセンサーのリストを持つようになるだろう(古いものを消す方法はない). これは知られている問題であり,私たちは将来 Walleye に対し複数のハニーネットをサポートすることを計画している. しかしながら,現在それがインストールされているローカルのハニーネットのみをサポートしている.

このサマリーページの目的は,あなたに Honeywall 活動,主にインバウンドとアウトバウンドのトラフィックを与えることである. その主な情報源は argus によるフロー情報である. 両方向(bidirectional) としてリストされているもの全て,私たちが見るクライアントからサーバーへ,またサーバーからクライアントへと送られるデータに対して フローとして定義されている. 総量(total)は両方向も片方向だけ(ファイアウォールによってドロップされたインバウンドスキャンなど)も含む. 加えて,それには IDS のアラートもネットワークトラフィックも表示される. で表示されているもの全て,更なる情報のためにクリックすることができる. 例として,もしあなたがあなたの Honeywall センサーの識別値をクリックするなら, あなたは,そのセンサー上の全ての活動の詳細な概要を得ることができる. そのSensor Details セクションは,Honeywall についての管理上のサマリーデータと最近の 24 時間に対するトラフィック量の上位者のレポートを表示する. 管理サマリーは分散環境を対象としたもので,honeywall の地理的と組織的な位置の記述を表示する. トラフィック量の上位者のレポートは,最も活動的なソースとディスティネーションのネットワーク接続に対して 25 件を表示する. もし,Connections セクションをクリックするなら,それらの接続に対してフロービューを見ることができるだろう. もし,あなたが IDS Events でクリックすれば,フロービューへと進み, IDS と関連したフローを表示する. もし,あなたが Hosts の IP アドレスをクリックすれば,ホストのサマリーページへと進むだろう.

ページの下部には特定の IP を基にした情報の検索を行うメニューがある. それは比較的自明であるが,あなたは時間や日付, IP アドレスとポート(またはそれぞれ別に)検索することが可能である.

6.3 フロー

Flows Sectionセクションは詳細を探り始めることができる場所である. ここで,あなたはインバウンドとアウトバウンド接続の全てとそれに関連した活動の概要を見ることができるだろう. そのユーザインターフェイスは全てのハニーポットを順番に(ディスティネーション IP アドレス順で) 見せることから始める. あなたはどんなヘッダ,例えばアラートなどでもソートしてリスト表示させることができる. もし複数のページがあれば,あなたはメニュの上部からそれらにアクセスすることができる. スクリーンの左下部にはフローを検索するオプションがある. オプションにはトラフィックの種類,両方向か,ハニーネットのものか,全ての時間帯か, Sebek でトラックされているかによるフィルタリングを行うことができる. そのフィルタセクションではあなたは興味のないデータに関して非表示にすることによって検索を洗練することができる. 例えば,あなたはシステムにハニーネットから開始された両方向の TCP 接続だけを訪ねることができる. もし,あなたがある IP アドレスに対して一部または全てのフローの詳細な情報,またはあなたがそれらが起こった順にフローをリスト表示したかったら, 興味のあるシステムの IP アドレスか,左下部の Detailed オプションを選択し,あなたの検索要求を提示しなさい.

6.4 詳細

ここでは Details Section セクションについて取り上げる. ここでは,あなたはリスト表示された接続について見ることができる. これらの接続は起こった順にソートされており,一番古いものが最上部に,一番新しいものが最下部に表示される. それぞれの行には,それぞれの接続の詳細情報を含んでおり,それにはプロトコルの種類,含んでいるパケットの数とサイズ, 接続が開始されたソース IP の OS の種類などが表示される. 接続に関連した Snort アラートもまたリスト表示される. それぞれの接続の左には,いくつかのアイコンが見られるでしょう. もし,ハニーポット上に Sebek がインストールされていないならば, あなたはそれぞれの接続に対しアイコンが 2 つのみ表示され,それはフロッピーアイコンとルーペアイコンになっているだろう. それぞれについての説明は下にある. もしクライアントに Sebek をインストールしていれば,あなたは左にさらに 2 つのアイコンを見るだろう. これらについての詳細は Sebek セクションで述べる.

  • フロッピーアイコン: このイメージをクリックすることにより,あなたは特定のフローに関連したデータを pcap 形式でダウンロードすることできるだろう. もしくは,もしあなたが望めば Ethereal のような pcap データを解析するためにツールの選択をブラウザで設定すればよい.これは詳細な解析のためにはすばらしい方法である.
  • ルーペアイコン: このイメージをクリックすることにより,あなたはその接続を Snort によってより詳細に解析することができる. あなたはFlows Examinationセクションに進み, あなたはどの IDS アラートも,フローの Snort のパケットデコードも詳細に解析することができる.

6.5 Sebek

この新しいユーザインタフェイス Walleye は組込み機能だけでなく Sebek 特に Sebek 3.X バージョンのデータ解析も支援する. それは Sebek クライアントに追加された新しい能力に依存しているため,古いバージョンでは動作しない. Sebek データの力はシステム活動全てをキャプチャし,ハニーポット上で起こったことを解析する能力をあなたに与える. たとえ攻撃者が暗号化を行ったとしても. あなたは,左の列上にフローに対する Sebek データがあることをがわかる. 2 つのオプションを示すアイコンがあり,それは青矢印とグラフツリーを表している. それぞれについて以下により詳細に説明する.

  • 青矢印アイコン: このイメージ上をクリックすることにより,あなたは特定のフローに関連した接続全てを見ることができる.
  • グラフツリーアイコン これは全てのオプションで最も強力なものである. それは全てのシステム活動(プロセスやファイルオープンなどを含む)を詳細に解析することを可能とする. あなたが見る最初のスクリーンは,全てのプロセスとそれらの子プロセス全ての視覚的なツリーグラフになるだろう. これは全てのプロセスの視覚表現を与える. あなたはより詳細な情報を得るため特定のプロセスをクリックでき,それらプロセスを掘り下げていくことができる. 加えて,あなたがもし上部の View Details for this Process オプションをクリックするなら, あなたは全てのファイルのオープンとリードに関する活動の詳細なリストを得ることができるだろう.

6.6 今後の予定

CDROM の機能全てにおいて活発に開発が行われており,データ解析のユーザインターフェイスには変更が行われている. 私たちは追加を試みている著しい数の機能がある. それらには以下を含むだろう.

  • 不審トラフィックの追跡: クラックされたことを示す不審な接続に対してハイライトする能力
  • Sebek インターフェイス:素早く Sebek データ(キーストロークやアップロードされたファイルの回収)を基に攻撃者の活動を判別する能力
  • レポート: 活動のレポート生成能力

<-Back Home Next->